Implantación de la Protección de Datos
Reglamento General - GDPREs un Reglamento del Parlamento Europeo y del Consejo (UE) 2016/679 adoptado el 27 de abril de 2016 que tiene la intención de fortalecer y unificar la ley de protección de datos en materia de tratamiento de datos personales y la libre circulación de los datos, y derogando la Directiva 95/46/EC. Esta ley entró en vigor el día 25 de mayo de 2018.
Nuestra colaboración profesional tendrá como objetivo el análisis del tratamiento de los datos personales realizados por su entidad para implementar los procedimientos necesarios y las medidas de seguridad de índole técnica, organizativa y jurídica que aseguren el cumplimiento del Reglamento (UE) 2016/679 de 27 de abril de 2016 GDPR y la Ley Orgánica 3/2018 de 5 de diciembre (LOPDGDD).
Innova2tic ofrece un servicio integral de asesoramiento, gestión y mantenimiento técnico-legal para la adaptación y actualización de empresas y profesionales a la GDPR – LOPDGDD – LSSI_CE, que incluye la formación del responsable, el acceso a consultoría y la realización de las correspondientes auditorías.
Innova2tic aplica sus conocimientos para informar y explicar todo el proceso de adaptación al GDPR a su interlocutor, con el fin de optimizar los procesos de seguridad de los sistemas informáticos y de la estructuración de la documentación.
OBJETIVO
El objetivo del servicio es conseguir un compromiso de confidencialidad entre la organización y las personas que les han cedido sus datos personales y protegerla frente a los riesgos por el incumplimiento de la normativa motivados por denuncias y las sanciones que puedan derivarse.
- Adecuación Legal: Elaborar el Registro de Actividades del Tratamiento, teniendo en cuenta su finalidad y base jurídica. y el resto de procedimientos que lleva consigo el trabajo de Consultoría en materia legal.
- Adecuación Técnica: Análisis de Riesgos y revisión de las Medidas de Seguridad. Establecer las medidas de carácter técnico y organizativo para cumplir, en el día a día con la actividad de su Organización. Evaluación de Impacto.
- Adecuación Organizativa: La adaptación es un proceso continuo que compete a todos los miembros de la Organización y debe observarse en el día a día. Para ello es fundamental la concienciación y formación.
CAMBIOS INTRODUCIDOS
- Los datos personales de tus clientes deben ser almacenados en el territorio de la UE.
- Es necesario recoger el consentimiento explícito de los usuarios para procesar los datos personales, la información ha de ser clara y comprensible.
- La nueva ley de responsabilidad: Como administrador, eres responsable de cumplir con las reglas y debe asegurarse de que el procesamiento de datos cumple con las normas.
- Tu cliente tiene el derecho de ser olvidado y debes permitir la eliminación de todos los datos de tu base de datos.
- Es necesario respetar la normativa de protección de datos desde la creación de soluciones IT.
- Estás obligado a mantener registros de procesamiento de datos.
- Tu cliente tiene el derecho de exigir que sus datos sean transferidos a otra entidad.
- Las sanciones por infracciones de datos: han aumentado hasta los 20 millones de euros.
- Estas obligado a informar cualquier incidente de violación de datos.
Servicios que te ofrecemos
Implantamos el GDPR-LOPDGDD-LSSICE basado en la experiencia y en la atención a las necesidades específicas de cada uno de nuestros clientes. La consultoría, además del asesoramiento técnico y legal, incluye la elaboración de toda la documentación necesaria para la concreción de las responsabilidades que afecten al tratamiento y uso de los datos por parte de personas y empresas, confeccionando los acuerdos, contratos, cláusulas, etc que correspondan a cada caso, según el tipo de tratamiento o uso que se hace de los datos a las que se tiene acceso.
Te ofrecemos un servicio de auditoría de cumplimiento de la normativa GDPR, LOPDGDD y LSSICE para verificar el estado en el que se encuentra tu empresa aplicando un protocolo de actuación, para definir y adoptar las medidas alternativas y/o correctoras a aplicar.
Realización de controles periódicos para garantizar que los documentos están actualizados en todo momento. Actualización y asesoramiento relativo a los cambios de normativa de privacidad. Acceso a plantillas para la confección de contratos, cláusulas, etc. de obligado cumplimiento, revisión, previo aviso, de los cambios internos técnico-organizativos y gestión de registros, solución de requerimientos de los derechos del interesado: acceso, rectificación, supresión y portabilidad de los datos y limitación y oposición al tratamiento.
Preguntas Frecuentes
1. ¿Qué derechos reconoce el RPGD a los afectados?
Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión («derecho al olvido»), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles).
Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.
2. ¿Cuál es el plazo para responder cuando se ejercitan estos derechos?
Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
3. ¿Cuándo es aplicable el Reglamento General de Protección de Datos (RGPD)?
El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento deben adecuar el tratamiento de datos personales que realizan a lo previsto en el mismo. Asimismo, el Reglamento es directamente aplicable, por lo que a, diferencia de la anterior Directiva, no necesita ser transpuesto al ordenamiento jurídico español.
Además del RGPD, se encuentra en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
4. ¿Cuál es el ámbito de aplicación del RGPD?
El RGPD, además de aplicarse como hasta ahora a responsables o encargados de tratamientos de datos establecidos en la Unión Europea, contempla su aplicación a aquellos responsables y encargados, que si bien no se encuentran establecidos en la Unión, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
Para que esa ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.
5. Con la aplicación del RGPD ¿Sigue siendo obligatoria la inscripción de ficheros?
A partir del 25 de mayo de 2018, desaparece la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la AEPD, u registro de la autoridad autonómica competente. Es decir, con el RGPD desaparece la obligación de inscribir ficheros en esta AEPD.
6. ¿Qué novedades introduce el RGPD?
El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado RGPD, así como que están en condiciones de demostrarlo.
Estas medidas de responsabilidad proactiva son las siguientes:
- Análisis de riesgo.
- Registro de actividades del tratamiento.
- Protección de datos desde el diseño y por defecto.
- Adopción de medidas de seguridad.
- Notificaciones de «violaciones de seguridad de los datos»
- Evaluaciones de impacto sobre la protección de datos.
- Nombramiento del Delegado de Protección de Datos.
Además, el RGPD contempla dos medidas más con la finalidad de contribuir a la correcta aplicación de la norma:
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta.
- La creación de mecanismos de certificación y de sellos y marcas de protección de datos.
7. ¿Qué es el principio de responsabilidad proactiva?
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
8. Según el RGPD ¿Cómo debe solicitarse el consentimiento de los interesados para tratar sus datos personales?
El RGPD requiere que el consentimiento sea «inequívoco», lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:
- Puede ser para uno o varios fines.
- Debe ser prestado de forma libre.
- Revocable.
- El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
- Utilizar un lenguaje claro y sencillo.
Por otra parte, también debe ser tenido en cuenta lo siguiente:
- Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
- Si se recaba el consentimiento para varias finalidades:
- Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros).
- Pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).
Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:
- Tratamiento de datos sensibles
- Adopción de decisiones automatizadas
- Transferencias internacionales
9. ¿Qué es el Registro de actividades de tratamiento?
Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente: Respecto a los responsables:
- el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
- los fines del tratamiento;
- una descripción de las categorías de interesados y de las categorías de datos personales;
- las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
- cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Respecto a los encargados:
- el nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del delegado de protección de datos;
- las categorías de tratamientos efectuados por cuenta de cada responsable;
- en su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
- cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 30, apartado 1.
10. ¿Qué obligaciones específicas contiene el RGPD para los encargados de tratamiento?
En determinadas materias los encargados tienen obligaciones propias que establece el RGPD, que no se circunscriben al ámbito del contrato que los une al responsable, y que pueden ser supervisadas separadamente por las autoridades de protección de datos.
Por ejemplo:
- Deben mantener un registro de actividades de tratamiento.
- Deben determinar las medidas de seguridad aplicables a los tratamientos que realizan.
- Deben designar a un Delegado de Protección de Datos en los casos previstos por el RGPD.
Los encargados pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas de certificación previstos por el RGPD.
Los responsables habrán de elegir únicamente encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento. Esta previsión se extiende también a los encargados cuando subcontraten operaciones de tratamiento con otros subencargados.
11. ¿Son válidos los contratos con encargados de tratamiento anteriores al RGPD?
Los contratos con encargados de tratamiento concluidos con anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse para respetar este contenido, sin que sean válidas las remisiones genéricas al artículo del RGPD que los regula.
Indicar al respecto que la Disposición transitoria quinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dice que:
Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.
12. ¿Se puede instalar GPS en los coches de empresa que utilizan los trabajadores?
La legitimación que permitiría este tratamiento de datos personales sería, en base a lo dispuesto en el artículo 6 del RGPD, la ejecución de un contrato, teniendo en cuenta, además, que el artículo 20.3 del Estatuto de los Trabajadores establece que el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso.
No obstante, la existencia de esta legitimación, sin necesidad de que preste consentimiento previo el trabajador, no excluye el cumplimiento del derecho de información del artículo 13 del RGPD. De esta forma, con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
13. ¿Puede solicitar el empresario el teléfono y dirección de correo electrónico particular del trabajador?
El tratamiento del dato del correo electrónico y teléfono particulares del trabajador puede ser ignorado por el empresario, dado que ninguna norma exige que el trabajador, para la adecuada perfección de su relación contractual, haya de facilitar estos datos al empresario al que presta sus servicios.
Es decir, dicho tratamiento excedería en cuanto al mismo de lo permitido inicialmente por la normativa de protección de datos, y más concretamente, de la legitimación del artículo 6 del RGPD en base a la ejecución de un contrato. No obstante, si las circunstancias de la prestación de servicios para la empresa conllevara una disponibilidad personal del trabajador fuera de su centro u horario de trabajo, una medida más moderada e igual de eficaz para conseguir la comunicación de la empresa con el trabajador sería la puesta a disposición del mismo de un instrumento de trabajo como sería un teléfono de empresa.
En todo caso, sería posible que los afectados facilitaran los datos referentes a su e-mail y número telefónico particulares, si bien la recogida de estos datos habría de ser de cumplimentación voluntaria, previa la obtención del consentimiento del trabajador, que podrá oponerse posteriormente a su tratamiento ejerciendo los derechos de oposición o supresión.
14. ¿Es necesario el consentimiento del trabajador para implantar un sistema de control horario? ¿Hay que informarle acerca de las medidas de control establecidas?
Con carácter general y para la implementación del registro de jornada no se precisa el consentimiento del trabajador, siendo base suficiente de legitimación la propia norma laboral, que en el artículo 34.9 ET establece la obligación de las empresas de realizar dicho registro de la jornada con carácter individual de cada persona trabajadora y que, de acuerdo con lo previsto en el artículo 6.1.c del Reglamento europeo 2016/679 (RGPD), el tratamiento de datos personales de los trabajadores derivado de la implantación del registro de jornada es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. No obstante lo anterior, la existencia de una lícita condición para el tratamiento de los datos de los empleados sin necesidad del consentimiento de los trabajadores no excluye el deber de las empresas de informar a los trabajadores de la existencia del registro y de la finalidad del tratamiento de los datos personales individuales que se obtienen con dicho registro.
15. Estoy recibiendo frecuentes llamadas telefónicas de una empresa con publicidad de sus servicios y productos. No quiero que me sigan llamando, ¿qué puedo hacer para que dejen de hacerlo?
Como cuestión preliminar, debe saber que las llamadas con fines comerciales están expresamente previstas en la normativa de protección de datos. En particular, están permitidas cuando concurra un interés legítimo del responsable del tratamiento, especialmente en aquellos supuestos en que exista una relación previa con el interesado, por ejemplo, por su condición de cliente, que le permita prever que pueda producirse el tratamiento de sus datos con tales fines.
No obstante, los afectados tienen derecho a oponerse en todo momento a las llamadas comerciales. Para ello, disponen de los siguientes recursos posibles:
- Ejercer el derecho de oposición a las llamadas comerciales ante la entidad promocionada: este derecho está expresamente previsto en la normativa específica de telecomunicaciones. Con carácter general, si no se desea recibir llamadas comerciales puede dirigirse a la empresa cuyos servicios o productos se promocionan, sea o no cliente de ella, identificándose como usuario de la línea telefónica en la que no desea recibir las llamadas y manifestando su negativa u oposición al tratamiento de sus datos personales con fines publicitarios. Se deberán utilizar los medios puestos a su disposición para ello, generalmente accesibles en la web de la empresa; de manera que se pueda probar documentalmente la recepción de la oposición a recibir llamadas comerciales. La empresa promocionada deberá, de forma gratuita informar sobre sus actuaciones en el plazo de un mes a partir de la recepción de la solicitud de oposición, que podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
Más información sobre el ejercicio del derecho de oposición pinchando aquí. - Contactar directamente con el Delegado de Protección de Datos (DPD) de la empresa promocionada si se presentasen incidencias o problemas en el ejercicio del derecho de oposición. Se pueden encontrar los datos de contacto del DPD que corresponda, en el siguiente enlace de la página web de la AEPD: Relación de DPD.
- En el caso de que haya ejercitado el derecho de oposición y el responsable, o en su caso, el encargado del tratamiento, no le ha contestado en el plazo de un mes, o le ha enviado respuesta y la misma es insatisfactoria y no respeta lo establecido en el artículo 21 del Reglamento general de protección de datos (RGPD), puede interponer una reclamación ante la Agencia Española de Protección de Datos (AEPD).
Para interponer esta reclamación puede:- Utilizar la “Sede Electrónica”.
- Presentar la reclamación dirigida a la Subdirección General de Inspección de Datos en el registro de esta Agencia, calle Jorge Juan, 6-28001-Madrid, o a través de correo administrativo.
Las reclamaciones deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio (puede ser la copia del ejercicio de su derecho, así como la respuesta recibida, en su caso), que permita corroborar los hechos objeto de reclamación.
- Además, debe saber que, si sus datos personales identificativos figuran en las guías de telecomunicaciones disponibles al público, también se puede ejercer el derecho de oposición ante el operador que le presta el servicio de telefonía, para que le excluya de los ficheros que emplean las entidades autorizadas por la Comisión Nacional de los Mercados y la Competencia para elaborar las guías de abonados, o bien para que se haga constar en las mismas su oposición al tratamiento comercial de los datos. De la misma forma, puede solicitar la omisión en las guías de algunos de sus datos.
- Adicionalmente, el afectado también puede registrase en los sistemas de exclusión publicitaria, como el gestionado por la Asociación Española de Economía Digital (www.listarobinson.es), con objeto de evitar la publicidad de las empresas a las que no se haya otorgado el consentimiento expreso para el tratamiento de sus datos personales con fines publicitarios. Resulta eficaz en el plazo de dos meses desde la fecha de la inscripción.
- Así mismo, y sin perjuicio de otras acciones, se puede hacer uso de la funcionalidad que suelen ofrecer los sistemas operativos de los terminales móviles para bloquear de forma automática las llamadas no deseadas, particularmente cuando proceden de una determinada línea telefónica o cuando no figuran en su agenda de contactos. Puede consultar los detalles de esta funcionalidad a través del correspondiente canal de ajustes de llamadas y/o mensajes.
Más información en la sección de la web de esta AEPD dedicada a evitar la publicidad no deseada.
16. ¿Cuánto tiempo puedo estar incluido en un tratamiento de solvencia patrimonial y crédito ("fichero de morosos")?
Los datos deberán ser suprimidos de este tipo de tratamientos cuando se hubieran cumplido cinco años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico, salvo que fuese de aplicación alguna de los supuestos que excepcionan la supresión contemplados en el artículo 17.3 del RGPD.
Asimismo, el pago o cumplimiento de la deuda determinará la supresión inmediata de todo dato relativo a la misma, salvo que al igual que en el supuesto anterior fuese de aplicación lo dispuesto en el artículo 17.3 del RGPD.
17. La instalación de videocámaras ¿Supone un tratamiento de datos de carácter personal?
La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.
18. ¿Qué obligaciones se deben cumplir para la instalación de videocámaras?
En primer lugar, la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.
Además, no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que:
- Resulte imprescindible para la finalidad que se pretende.
- Resulte imposible evitarlo por razón de la ubicación de las cámaras.
En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.
Por otra parte, el tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que en primer lugar, hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.
Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:
- Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
- Mantener a disposición de los afectados el resto de información referida en el artículo 13.
También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo.
Por otra parte, lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del RGPD y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones. Por tanto, la implementación de las medidas de seguridad cuando se lleve a cabo un tratamiento de datos mediante el uso de la videovigilancia dependerá del análisis de riesgo llevado a cabo previamente.
No obstante, cuándo se trate de tratamientos de videovigilancia que entrañen un escaso riesgo, como podría ser el caso de uso en comunidades de propietarios o pequeños establecimientos, puede utilizarse la herramienta de esta AEPD denominada FACILITA_RGPD.
Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.
19. ¿Se puede grabar la vía pública con fines de seguridad?
La captación y grabación de imágenes de la vía pública con fines de seguridad es una función reservada a las Fuerzas y Cuerpos de Seguridad. Únicamente se permitirá la grabación de aquel espacio de la vía pública que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras.
En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.
20. Tengo instalada una cámara con fines de seguridad que no graba, sólo permite el visionado en tiempo real. ¿Tengo que cumplir alguna obligación?
En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma.
Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho el derecho de información, a los que nos hemos referido anteriormente.
21. ¿Se aplica la normativa de protección de datos a la instalación de las videocámaras ficticias?
Al tratarse de cámaras simuladas, no captarían imágenes de personas físicas identificadas o identificables, por lo que, al no quedar acreditada la existencia de un tratamiento de datos personales, la cuestión se encuentra al margen de la normativa de protección de datos.
22. ¿Qué requisitos son necesarios para instalar videocámaras en comunidades de vecinos?
Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.
Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.
Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
23. ¿Puedo instalar una cámara en mi plaza de garaje?
Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.
24. ¿Se aplica la normativa de protección de datos a las comunidades de propietarios?
Sí, en la medida que realicen un tratamiento de datos de carácter personal de personas físicas.
Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse «gestión de la comunidad de propietarios» o «propietarios»,en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.
Pueden existar además otro tipo de tratamientos como el de «videovigilanica» o «camaras de seguridad».
Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.
25. Las comunidades de propietarios ¿Deben nombrar un delegado de protección de datos?
El Reglamento General de Protección de Datos (RGPD) en su artículo 37 establece una serie de supuestos en que en relación a determinados tratamientos debe nombrarse un delegado de protección de datos. Entre estos supuestos no se encuentran las comunidades de propietarios, por lo que no es obligatorio su nombramiento.
26. En nuestra comunidad de vecinos hay cámaras de videovigilancia ¿Son legales?
Para la instalación de videocámaras en las comunidades de vecinos, será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.
Las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.
Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
Para más información consulte la página web de la Agencia Española de Protección de Datos, apartado videovigilancia.
27. ¿Cuál es la edad para que los menores puedan prestar consentimiento para tratar sus datos personales?
Tras la publicación de la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el artículo 7 se establece que el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela.
28. ¿Se pueden tomar imágenes o grabar vídeos en eventos escolares?
Cuando se trate de eventos organizados por el centro escolar hay que distinguir:
- Si se trata de un evento al margen de la función educativa que cumple el centro escolar:
- Si es el propio centro escolar el que procede a la grabación de la imágenes deberá informar a los interesados, los propios menores si tienen más de 14 años y, si fueran más pequeños, a sus padres o tutores, de la finalidad de la grabación de las imágenes y de la difusión que de ellas se pretende hacer, si van a ser publicadas en páginas web, en redes sociales, o en cualquier otro tipo de publicación y solicitar su consentimiento.
- Si la toma de imágenes se realiza por los familiares de los alumnos, estaría fuera del ámbito de aplicación del Reglamento General de Protección de datos según el art. 2.2.c) ya que se establece que, no se aplica dicha normativa al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
No obstante, la divulgación fuera de ese ámbito de imágenes de personas sin su consentimiento a terceros, por ejemplo, la publicación de las imágenes en redes sociales “en abierto” constituye un tratamiento de datos que sí necesitaría del consentimiento de los afectados, pues en ese caso le sería de aplicación la legislación de protección de datos
- Si el evento responde al ejercicio de la función educativa de los centros la utilización de los datos para dicha finalidad se entendería amparada en la Ley Orgánica de Educación.
Se recomienda que el centro educativo, al solicitar permiso a los padres para la participación de los menores en eventos escolares, informe de la posibilidad de que familiares y amigos del alumnado podrían tomar imágenes del evento para un uso doméstico. Igualmente, constituiría una buena práctica si se procediera a informar antes de empezar el evento (por ejemplo mediante carteles) de que su grabación sólo es factible para uso doméstico (actividades privadas, familiares y de amistad).
Fuente: aepd.es